| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: CoolWebSearchWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
14.04.2004, 15:36
| #1 |
 |  CoolWebSearch [img]graemlins/schrei.gif[/img] Hi also ich hab ma die Frage und zwar hab ich mir mal sämtliche sachen durchgelesen die ich zu dem thema finden konnte und dadurch auch ne menge programme runtergeladen die laut posts helfen sollen aber ich habe jeden tag aufs neue coolwebsearch drauf welches auch jeden tag aufs neue (manchmal mehrfach) von adaware cwschredder und kollegen gefunden wird. ich hab auch schon versucht das dingen aus der system32 persönlich zu verbannen aber am nächsten tach is es unter einem anderen namen wieder da... [img]graemlins/koch.gif[/img] habt ihr ne idee was ich da machen könnte?? das fängt nähmlich echt an zu nerven und scheint ja wie ich gelesen hab meiner online sicherheit auch nicht zu dienen [img]graemlins/headbang.gif[/img] |
|
14.04.2004, 16:05
| #2 |
  | CoolWebSearch Hallo TrainerTh und wilkkommen im Board,
__________________mach bitte als erstes ein Scan mit HijackThis (siehe Thread Probleme mit "BrowserHijackern" - dort der erste Beitrag). Die Logdatei, die du so erhälst poste bitte einmal hier herein. Gruß, Lutz
__________________ |
|
15.04.2004, 07:13
| #3 |
| | CoolWebSearch Hier mein Logfile.. was sich aber von tag zu tag ändert mal grösser mal kleiner...
__________________Logfile of HijackThis v1.97.7 Scan saved at 08:11:13, on 15.04.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\trainer2\Desktop\spy\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kfffal.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kfffal.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kfffal.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kfffal.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kfffal.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kfffal.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {7F603BC1-6639-4CA3-BDCA-5578EEAEE6B2} - C:\WINDOWS\System32\kfffal.dll (file missing) O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab |
|
15.04.2004, 09:22
| #4 |
| /// Mr. Schatten  | CoolWebSearch </font><blockquote>Zitat:</font><hr />Original erstellt von TrainerTh: Hier mein Logfile.. was sich aber von tag zu tag ändert mal grösser mal kleiner... </font>[/QUOTE]Na sowas  Das Log zeigt alle laufenden Threads an, dankenswerter Weise hast Du es geschafft nicht alles "an" zu haben um das Log möglichst unübersichtlich zu machen (Lob) (Hier kommt der Tadel) Bitte mache umgehend ein WindowsUpdate, der IE wird dann auch auf aktuellen Stand gebracht. alle R0 und R1 sowie 02 fixen Hast Du einen Brother Drucker? [ 15. April 2004, 10:29: Beitrag editiert von: Shadow ]
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
15.04.2004, 09:37
| #5 |
| | CoolWebSearch Mh der brother drucker is in der Firma. das fixen bringt nich wirklich was dat zeuch kommt nach nen paar stunden wieder spätestens am nächsten tag ,,, [img]graemlins/pfui.gif[/img] |
|
15.04.2004, 09:51
| #6 |
| /// Mr. Schatten | CoolWebSearch Windows schon upgedated? Nu mach. Ist dies wirklich das komplette HJT-Log da oben? Mehr nicht? Wirklich nicht? schau mal was über ausführen => mscofig => systemstart für Starteinträge drin sind, ScreenCopy oder abschreiben und hier rein
__________________ --> CoolWebSearch |
|
15.04.2004, 10:06
| #7 |
| | CoolWebSearch ja das ist wirklich das komplette log un das das manchmal mehr is weil mehr progs laufen war mir klar [img]graemlins/party.gif[/img] is aber trotzdem von mal zu mal mehr un nich wegen den progs... so hier kommt die grafik :  |
|
15.04.2004, 10:41
| #8 |
| | CoolWebSearch </font><blockquote>Zitat:</font><hr />Original erstellt von TrainerTh: ...das fixen bringt nich wirklich was dat zeuch kommt nach nen paar stunden wieder spätestens am nächsten tag...</font>[/QUOTE]Hallo, das klingt für mich ziemlich eindeutig danach, dass Du Dich (ungewollt) auf den gleichen Seiten im Internet immer wieder neu 'infizierst'! Du solltest als allererstes den Ratschlag befolgen und Dein Windows aktualisieren (updaten)! Außerdem kann es nicht schaden, wenn Du mal die temporären Dateien des IE löscht. Gruß, Lutz
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
15.04.2004, 10:49
| #9 |
| /// Mr. Schatten | CoolWebSearch Windows schon upgedatet?  Ich frage so lange bist Du es getan hast. [img]graemlins/lach.gif[/img] Startet wirklich wenig  Obwohl auch da noch IMO nicht nötiges drunter ist [img]tongue.gif[/img] AdAwre und Spybot S&D schon mal laufen lassen? Siehe Signatur Schon mal diverse Onlinescanns gemacht? http://de.bitdefender.com/scan/licence.php http://www.pandasoftware.com/actives..._principal.htm http://www.ravantivirus.com/scan/indexie.php Danach reden wir weiter [img]graemlins/daumenhoch.gif[/img]
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
15.04.2004, 10:56
| #10 |
| /// Mr. Schatten | CoolWebSearch </font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk): </font><blockquote>Zitat:</font><hr />Original erstellt von TrainerTh: ...das fixen bringt nich wirklich was dat zeuch kommt nach nen paar stunden wieder spätestens am nächsten tag...</font>[/QUOTE]Hallo, das klingt für mich ziemlich eindeutig danach, dass Du Dich (ungewollt) auf den gleichen Seiten im Internet immer wieder neu 'infizierst'! Du solltest als allererstes den Ratschlag befolgen und Dein Windows aktualisieren (updaten)! Außerdem kann es nicht schaden, wenn Du mal die temporären Dateien des IE löscht. Gruß, Lutz </font>[/QUOTE]Habe ich mir auch schon überlegt, unter anderem deshalb auch ein Update des BS + IE gefordert. Darüberhinaus sollte man sich mal die Wahl des Browsers überlegen => FireFox oder Opera Läuft der PC tagsüber durch? Sind die Einträge erst nach einem Neustart wieder drin? Sind die Einträge immer nach einem Neustart wieder drin?
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
15.04.2004, 13:11
| #11 |
| | CoolWebSearch So alle updates sin drup (37..) [img]graemlins/crazy.gif[/img] Ne das hat nichts mim neustart zu tun die kommen wann se wollen. auch wenn ich über stunden keine seite besucht habe dann den ie aufrufe sin se da. manchmal bleiben sie auch da auch wenn ich kurz vorher nen finde prog drüberlaufen lies Online scan hat auch nichts gefunden genau wie sämtlich vorort scans. [img]graemlins/heulen.gif[/img] |
|
15.04.2004, 13:59
| #12 |
| /// Mr. Schatten | CoolWebSearch Du treibst keine üblen Scherze? Und Dein HJT-Log ist sicher komplett? Mach mal nach dem Neustart nochmal ein LOG und poste es komplett. Das Log stimmt nicht mit den Startaufrufen im Systemstart überein. [img]graemlins/balla.gif[/img]
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
15.04.2004, 17:47
| #13 |
| | CoolWebSearch </font><blockquote>Zitat:</font><hr />Original erstellt von TrainerTh: So alle updates sin drup (37..) [img]graemlins/crazy.gif[/img] </font>[/QUOTE]Na, das war ganz sicher nicht schädlich... Kannst Du denn jetzt dauerhaft die 'dll-Einträge' fixen? BTW: ich vermute mal, die Datei </font><blockquote>Zitat:</font><hr /> O2 - BHO: (no name) - {7F603BC1-6639-4CA3-BDCA-5578EEAEE6B2} - C:\WINDOWS\System32\kfffal.dll (file missing) </font>[/QUOTE]gibt es nicht mehr auf Deinem Rechner? Wenn doch, bitte entfernen. Wie verhält sich denn dein IE nach dem Du die Patches installiert hast? Gruß, Lutz
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
15.04.2004, 17:50
| #14 |
| | CoolWebSearch </font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: ...Das Log stimmt nicht mit den Startaufrufen im Systemstart überein... </font>[/QUOTE]Evtl. befinden sich ja schon einige Einträge in der 'Ignore-List'?!?
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
15.04.2004, 17:55
| #15 |
| /// Mr. Schatten | CoolWebSearch </font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk): </font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: ...Das Log stimmt nicht mit den Startaufrufen im Systemstart überein... </font>[/QUOTE]Evtl. befinden sich ja schon einige Einträge in der 'Ignore-List'?!? </font>[/QUOTE]Das ist richtig, aber warum frage ich dann mehrmals ob das komplett ist? Gut, ich habe nicht gefragt ob es eine Ignoreliste gibt.  Habe einfach schon zu lange nichts mehr von Tuvok gelesen [img]tongue.gif[/img] @ TrainerH: Gibt es vielleicht schon eine Ignoreliste? Wenn ja dann poste die doch auch mal bitte PS: </font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk): </font><blockquote>Zitat:</font><hr /> O2 - BHO: (no name) - {7F603BC1-6639-4CA3-BDCA-5578EEAEE6B2} - C:\WINDOWS\System32\kfffal.dll (file missing) </font>[/QUOTE]gibt es nicht mehr auf Deinem Rechner? Wenn doch, bitte entfernen.</font>[/QUOTE]file missing ^^ Ja ein Suchlauf nach kfffal.dll schadet nichts, aber file is halt schon missing [img]graemlins/bussi.gif[/img]
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
| Themen zu CoolWebSearch |
| adaware, andere, anderen, coolwebsearch, dinge, frage, fängt, helfen, konnte, mehrfach, namen, nerve, nerven, neue, nicht, online, programme, sache, sachen, schei, sicherheit, system, system32, sämtliche, thema, verbannen, versucht |
Linear-Darstellung
